Hrvati opet žrtve ransomwarea

Educiranje zaposlenika je sizifov posao. čak i ako ih nečemu i uspiješ naučiti, moraš stvar ponoviti kada odu, a netko drugi dođe. Ja sam u firmi morao koordinirati manualno testiranje proizvoda od strane 10ak zaposlenika jer je alat bio u izradi, a rokovi su stiskali. Sve sam tako organizirao da bi i čimpanza mogla obaviti zadatak: stisni gumb, ako je radnja uspješno obavljena obojaj čeliju u excelu u zeleno, ako radnja ne prođe obojaj u crveno, ponovi sve 10 puta. Lakse bi mi bilo da sam sve sam radio ili stvarno unajmio čimpanze.

Stavljati povjerenje u ljude nije inteligentni pristup rješavanju problema. Kako je Friday rekao, kada nešto zaje*b, lupi po džepu i neće više nikada. Osnovna informatička pismenost se mora imati.

Što se tiće backupa, ja nemam povjerenja u oblačne servise, ali za maximalnu sigurnost su jedini izbor kao tercijarni backup (enkriptiran lokalno naravno). Sekundarni bi bio cold storage, a primarni NAS. Jedini problem je što sve to košta i to ne baš malo.

A mozel ista pomoci deep freeze i slicni programi.

Upravo o tome i govorim. Da su prošli ne znam kakvu edukaciju, ne bi pomoglo jer kad to tako gledamo, korisnik nije kriv za drive-by dl. Krivo si me skužio ;)

Ali edukacija o prednostima adblocka (koji ne možemo pustiti kroz WSUS ili neki drugi automatizirani deploay, jer da možemo, imali bi na svih 150+ PCja) bi dobro došla . Možda kad budemo upgradeali PCjeve pa se napravi sys image sa svime, uključujuć i adblocker. Prošli admini se nisu toga sjetili.

BTW, molim mudrijaša sa TDom da mi objasni kako da pokrenem VS na linuxu, jer izgleda da se ne slaže sa iznesenim činjenicama. Ili možda sugerira da prijeđemo na linux kao development platformu, što je u najmanju ruku smiješno u ovoj mojoj branši

Da nebi bilo "niste ni probali", jesmo. Naletjeli smo na "problemčić" kada smo par glavnih vendora i OEMa pitali za source od njihovih komponenti. Promijeniti vendore? Bolje da onda zatvorimo firmu jer bi transfer hardvera i softvera na nove vendore i IS trajalo jedno pola godine u najoptimističnijem slučaju. Realno, 3+ godine dok sve "ispeglamo" na trenutnu razinu podrške i kvalitete. Linux nije rješenje za sve i najgluplji komentar koji netko može dati je "linux nema problema sa xy rupom". Da, ali ima problema sa svim drugim što ti padne na pamet.

Nije problem u prosjecnom korisniku ovog foruma nego prosjecnom znaju zaposlenika u raznim firmama gdje su racunala osnovni alat, a to je gotovo svuda :)

Odgovori na pitanje molim te jer nisam iskreno dobio dojam da je samo kaznjavanje bio dio Fridayovog posta s kojim se ne slažeš.

BTW neznanje nije izgovor za ništa pogotovo ako su ljudi upozoreni. Pogotovo kada se radi o ovako ozbiljnim stvarima.

Kao sto je receno, stvari u bransi racunalne sigurnosti su toliko dinamicne da bi se trosili pusti sati "edukacije" stefica i kompanije, a sutra se sve okrene naglavacke. Samo minimalna edukacija tu ima smisla - 2 sata ukupno za sve zaposlenike max. Koliko god vremena da se ulozi u edukaciju, zaposlenici ce uvijek ostati najslabija karika, sto znaci da se bilo koja firma koja se ne smatra ridikulom mora pouzdati u druge mehanizme.

 Malware se nemora instalirati, a uostalom postoje i oni koji koriste process hollowing tehnike kako bi svoj code preko exploita iz browsera/plugina kopirali u neki proces od Windowsa i tamo ga izvrsili, tako da izbjegne detekciju, a i posto su tehnicki gledano samo poznati procesi pokrenuti mogu se zaobici mnoga sigurnosna rjesenja. (zato se mora zaustaviti sam exploit)

Moze se u potpunosti izvrsavati u memoriji bez da ostavi file na disku (ima i ovdje lijepo objasnjeno te video demonstracija) ili se ugnijezditi u registry i od tamo izvrsavati skripte direktno u memoriji.

Zeznuta je ta nova generacija malwarea, nemoras nista kliknuti, a moze ti napraviti kaos ako nisi zasticen preventivno - zastita od exploita (bilo kroz anti-exploit program ili blokiranjem reklama kroz koje se najcesce sire, ali mogu i direktno preko javascripta ako je hakirana stranica) i redovito pravljenje backupa.

Mislim da takvi (virtualizacijski programi) uredno stite protiv svih malware-a, samo je pitanje da li stite sve particije ili samo osnovnu C: (npr. ToolWiz Time Freeze).

Osobno koristim Shadow Defender i s njim nema zime  .

Zanima me da li postoji opasnost da se računalo zarazi (bilo ransomwareom ili drugim malwareom) putem kućne mreže?

Imam nekoliko računala u kući i ne mogu garantirati da npr. moj mali nećak neće nešto pokupiti na svoj PC. Da li se putem mreže mogu na taj način zaključati/zaraziti i ostala računala u mreži bez obzira na npr. firewall i aktivnu antivirusnu zaštitu?

Pošto tu ima stručnjaka imam pra pitanja:

Dali AD tj prava na mrežnom disku zaustavljaju kriptiranje?

Mapirani diskovi će vjerojatno stradati,  no dali se širi na nemapirane ali dostupne?

Dali se proces automatski širi na druga računala u mreži ili samo inficirano računalo kriptira sve što može?

Kako izgleda proces zaraze? Prvi simptomi kod zaraženog PC-a? Kako prepoznati?

 - ne, nego slažem se i nastavljam, zato operator + (and). :)

- ja već godinama prelazim cestu i nisam zgažen, nisam opljačkan, nisam dobio na lotu... a to je dokaz da sam što?

- u ovom slučaju, jednostavno si imao sreće da u trenu kad je neki site zaražen nisi bio na njemu (npr index, morh, zaba..). Jednako kao riba u moru kad ribar baci mrežu. I baš ništa nebi mogao nit bi bio za to kriv bez obzira na tvoje znanje ili ne klikanje svačeg. Ja npr ne navodim sebe kao primjer kako ne pokupiti virus, jer to nije upotrebljiv argument, čak ni kombinacijau AVa, OSa i sl. jer za konkretan problem to nije relevantno. .. (ovo nije neslaganje sa smislom tvog posta). Problem je što je VIRUS (ili malware) postao preširok pojam. Ovo uopće ne moramo gledati kao virus (to je samo dio koji pokreće proces), problem je enkripcija.. i kompletan (PC-eko) sustav koji je povezan, šupalj... ponajmanje je problem npr Win (koji je samo najzastupljeniji DE-juzer OS).

 -da. PA opet, nije tu rješenje... jednako kao što ne može svatko biti mehaničar, pekar, doktor, učitelj, pjevač, ... zato uopće ne treba na taj način tražiti fix, +mantra o edukaciji.. ispada da bi današnji čovjek morao na edukaciju potrošiti cca 94.224 godina, i tad bi mogao koristiti što, smartphone?

 -gle, kućni (ti si vlasnik) poslovni (vlasnik je firma-gazda), su dvije različite stvari. Tvoje je tvoje, tuđe nije tvoje. Tad poštuješ pravila. Npr zabranjen YT bez da ja kao admin blokiram. Zabranjen parking? Treba educirati ili neznanje opravdava? Suprotno, osoba koja ne zna prometne propise ne smije voziti (nema vozačku..). Dali se educiraju kriminalci da ne kradu? Ili bi znak zabrane pljačke na novčarskoj isntituciji bio rješenje?... karikiram, ali edukacija kao odgovor je zapravo potvrda nepoznavanja stvari-problema, pa time i načina fixa..

 -upitaj se npr zašto je XP produljen od 4mj.2014 do 10.mj.2015, zašto je prošli mjesec zaba na početnoj str. imala obavijest o gašenju supporta XPa, nekompatibilnosti chroma i sl. .. upitaj se što je SSL, java, kompletan sigurnosni problem npr 4-znamenkasti pin... (bankama je prihvatljiv rizik u odnosu na trošak izmjene). Znanje? Kao da od bebe koja gleda TV tražiš da zna što je faradejev kavez, magnetizam, amper.. ili povijest filmske industrije, strane jezike, umjestnost, .. jednostavno zato što to beba konzumira putem TVa. KISS = koristiš daljinski, upališ-ugasiš.

 - 'lako' za klasične viruse, ovo je problem enkripcije (podataka!), tu ti netreba ni root ni app, jer (banalno) juzer file je njegov, OS će ostati čist, podaci izgubljeni (čekout u linux temi, crypt.. + pokupljen milion za rupu u browseru a takav natječaj je već tradicionalan na svim OSevima, browserima..).

- svaka app (software, jer i malware je soft, sve je file..), ima neki svoj task, 'običan' virus klasično želi nešto raditi, npr redirecta i otvara porn.. ovo nije taj slučaj, napada podatke, ne OS. Tu je najmanje važno koji je OS, ako je podatak dostupan, bit će kriptiran, mrežno.. bilo gdje, skoro trenutno.. (trenutno gašenje bi moglo biti 'spas' ali u pitanju su sekunde).

 -tako nešto..

 - jako dobra rečenica. :))

 -naprotiv, nikakve razlike između fizičkog ili virtualnog PCja (podaci u mreži..), jednako kao snapshoot i sl. to je image sistema, nevažno dal fizičkog ili VMa, a podaci su jedanko izgubleni. .. tj ako su u imageu tad je to nešto kao backup, osim što bi u ovom kontekstu backup bio copyja podataka.. dakle, to je backup, samo 'gluplji' u odnosu na rješenja redovitog backupa podataka.. dal pomaže? Svaki backup je bolji od ništa... ali nije rješenje, nije prevencija, nije zakrpa.. nego samo način kako sanirati posljedice.

VM te ne može štititi protiv malwarea, tj kakva bi to bila razlika između fizičkog PCja .. blokiran internet, što, drugi AV, drugi OS (host-guest, linux-OSX-win) ... mreža?

-kako bi štitio particiju, C: .. VMom? .. pogubio sam se :))

backup je backup, dal ga nazovemo .zip, freez, iso, vhd.. to sve je file. Imaš ili nemaš backup (ne samo za crypt problem, nego kvar, krađu, udar komete, poplavu.. pa do juzera koji greškom obriše podatak)

- to je problem svakog backupa, ali alternativa je..? Svatko za sebe ima kriterij, problem je što ljudi/firme o tome razmišljaju tek kad se nešto desi, kad se opeku.. tad više nije skupo kupiti diskove i sl.. ali tad je kasno za taj slučaj.

Znanje, npr i dropbox.. jednako izgubiš, ali kao amortizer daje ti neko vrijeme jer crypt prvo prođe lokalno mydoc.. pa mrežno mapirane.. uz ipak sporiji internet to je samo pitanje minuta. Poneki juzeri ne skuže problem čitav dan, klikaju uzaludno pokušavajući otvoriti word.doc.. i zovu tcom.. prođu sati dok skuže a sekunde su u pitanju.

Ovisno o potrebi (biznisu) firma ima redundanciju.. operateri imaju farme servera, imaju i rezervu, kao što auto ima gumu.. dal je jedna guma dovoljna? Jedan backup godišnje, konstantan mirror, to je na svakom juzeru za odlučiti. To je kod javnih servisa up-down time, to je kod vatrogasaca, policije vrijeme kad stižu u pomoć.. ovisno o resursima i potrebi (želji).

Nema 100%.

 -samo 100% zatvoren sistem (teoretski u bunker-trezoru, bez ikakvih linija, izoliran od radio signala.. recimo nešto za vojno-spijunske stvari kao A51) bi bio siguran... ali u ovakvom slučaju ni to, jer ako netko unese malware na stiku..

-dali će antivirus spriječiti? Bila je tema neki dan, AV koji ne traži update (heuristika).. to je upravo razlog, jer to eliminira potrebu da se updatea, dakle internet vezu... ako postoji internet veza, to je rupa (vrata-ulaz) i samo je pitanje kad se otkrije način kako ući, jer ne postoji brava-šifra koju se ne može otvoriti.

Uvijek virus ima prednost pred AVom.

Problem, jer ovaj 'siguran bunker' je nešto za SF. Realno kućni korisnik i većina poslovnih (kalsični desktop PC) vrti win, flash, pdf, java.. svaki od tih je rupa.

Opasnija rupa je sama mreža (*nix, unix, linux.. 90%), tj protokoli za transfer, sam internet (nasuprot zatvorenog sistema, npr banke, aerodromi..) u kojima se otkrivaju prastari backdorovi kad to NSA dozvoli... pa do npr TORa. Nema sigurne mreže osim ako imaš 100% kontrolu nad svim dijelovima.

Ako je crypt prošao sigurnosne postavke ozbiljnijih firmi, uzaludno je nadati se da kućni juzer može biti zaštićen, počevši da nemaš potpunu kontrolu nad adsl modemom (kontrolira ga ISP).

Sve moderne komunikacije imaju backdor, wireless oprema ne može na tržište ako državne agencije (kolokvijalno policija) nema mogućnost nadzora.. i naravno, sve je OK dok je to pod kontrolom zakona. .. no što kad druga strana dođe do ključeva?

-tko nas štiti od zaštitara?

Prije par godina, banke, MS, Verisign.. pokradeni certifikati (španjolska, ukrajna, pa i par slovenaca). Kad imaš certifikat, imaš propustnicu, tad te AV mora propustiti, tad te i firewall propušta.. a oni to imaju, dok je bankama izmjena neisplativa uz to java8 je prvog dana povučena zbog največe pljačke u povijesti..

Ako banke nisu sigurne, kako može biti Perica&Štefica?

npr što ako nabaviš keygen za windows10? Kako bi MS spriječio korištenje?

- kriminal ima root certifikate institucija koje garantiraju sigurnost transakcije.

možda to nije kriminal/terorizam, možda to rade i oni koji nas štite.. ali o teorijama zavjere nema smisla (pogotovo kad nije teorija).

predpostavka, da većina nije ni čula za npr Verisign, ako ga ugooglate.. što je u prvim linkovima?

kako radi online poslovno bankarstvo, eporezna i sl.? tako da toj stranici dozvolite izvršavanje.. a dalje pokušajte pogoditi što se desi kad virus ima certifikat sigurne stranice koji inače ima npr banka..

Tu juzer nema ništa napraviti, čak ni AV.. (pa jedan od linkova gdje symantec daje free revocation certifikata.. pogodite što je razlog). Certifikat se revoka kad je komprimitiran.

Edukacija korisnika ili edukacija policije, banaka..? Da bar u takvoj situaciji budu pristojni prema klijentu (jer procedura koju klijent prođe u dokazivanju tko je skinuo novac s računa je užasna.. nema veze s crypt-ransom ali ima s certifikatima a to je povezano, posljedica).

Edukacija? Možda pitanje kako to da se največa pljačka globalno, najmanje komentira, nema vijesti, nema političara, bankara.. koji o tome govori.. koja edukacija kad ni informacije ne daju u javnost jer su 'neugodne'.. Sve stane na pamfletu da ne otvarate sumnjivu poštu (oximoronizam) i ne pokrećete .exe u .zipu (nevažno, automatika.. a certifikat to omogućuje na nivou admina-OSa i iznad AVa..).

- dobar post.

- svi smo u pravu, ali tad obično nitko nije.. jer nema jednog odgovora/recepta.

osim murphyja i backupa!

- ne zaustavlja (jer juzer ima pravo nad dokumentom..).

- ide redom, pitanje je samo kad će i taj dio hardcodirati kao unc path.. zbog brzine nemaju potrebe tražiti osim mapiranih, da firme prestanu mapirati, promijenili bi path proceduru ali ona je u osnovi sporija za red veličina. Kod crypta je i brzina važna, eliminira mogućnost da se juzer uopće snađe i ugasi PC. Čiščenje virusa je trivijalno.. kriptiran file je problem. Čak crkavanje PCja zbog nasilnog gašenja nije bitna stavka.. zato (vremenski) sumnjam da će ikad biti potrebno virusu UNC u odnosu na mapiran disk ali na to se ne smije računati (kao neka zaštita). Ono što ja radim je obrnuto, da juzer nema pristup na server-backup (klasičan scenarij da juzer pokreće backup podataka na server.. ovako server povlači potrebno od juzera bez da juzer ima ikakav pristup domeni (backup serveru), tad ga štiti fw-user postavke jer juzer tad nema pristup backupu.

-širi se.

-ne možeš otvoriti dokument (sve extenzije cca 150), ne dira više npr .exe/.dll tako da OS radi najnormalnije.

pošto je za filter (pretraživanje) bitna extenzija, banalno rješenje je 'linuxaško'.. koristiti file bez extenzije, tad ga crypt neće kriptirati.. to se može s backupom, npr rename .bac ili .dat .. u .(ništa). Naravno, to otežava snalaženje adminu, jer smisao extenzija je upravo razlikovanje fileova ali zanemarivo jer systemac to i napravi, zna što gdje radi, npr folder koji tako nazove.. (a naziv foldera nije nešto što će crypt uskoro uzeti kao relevantno.. npr folder 'backup' kao ciljani)

Ako si pročitao i moj idući post (ili koji već) onda znaš da ih imam čak 3 (osnovni backup je na NAS, a onda ide još i laptop, offline USB disk, cloud).

Jako brzo se širi jer ne kriptira cijelu datoteku nego samo header i jedan dio fajla. Ne kopira sam sebe na drugo računalo i ne pokreće se samostalno (bar do sada nije).

Odgovor na prvo pitanje nema smisla dati jer je pitanje besmisleno, a na treće je da, ako je folder mapiran.

Trenutno logirani user... Što ako admin pokupi nešto zbog rupe (čitati postove ihush-a)? Kakva ti je onda korist od r/w permissiona kad uvijek ima jedan user koji može sve?